{"id":481,"date":"2012-11-06T20:39:10","date_gmt":"2012-11-06T18:39:10","guid":{"rendered":"http:\/\/blog.nebule.org\/?p=481"},"modified":"2016-03-29T19:04:42","modified_gmt":"2016-03-29T17:04:42","slug":"avant-que-nous-nen-ayons-connaissance","status":"publish","type":"post","link":"https:\/\/blog.nebule.org\/?p=481","title":{"rendered":"Avant que nous n&rsquo;en ayons connaissance"},"content":{"rendered":"<p style=\"text-align: justify;\">Une <a title=\"bilge12_zero_day.pdf\" href=\"http:\/\/users.ece.cmu.edu\/~tdumitra\/public_documents\/bilge12_zero_day.pdf\" target=\"_blank\">\u00e9tude<\/a> empirique int\u00e9ressante de Leyla Bilge et Tudor Dumitras (de chez Symantec) sur les attaques de type zero-day : <em>Before we knew it<\/em>.<\/p>\n<p style=\"text-align: justify;\">Par rapport \u00e0 nebule, on peut noter une similitude dans la m\u00e9thode d&rsquo;identification des objets. Chaque objet de l&rsquo;\u00e9tude est un fichier r\u00e9f\u00e9renc\u00e9 par une empreinte MD5 et une empreinte SHA2. Si le contenu des fichiers n&rsquo;est pas conserv\u00e9, la base de donn\u00e9es conserve avec les empreintes le type de fichier, le lien de t\u00e9l\u00e9chargement et la date de t\u00e9l\u00e9chargement. Un des probl\u00e8me est qu&rsquo;il n&rsquo;est pris en compte que les fichiers ex\u00e9cutables Windows, exit donc les ex\u00e9cutables UNIX, les fichiers PDF ou multim\u00e9dia pi\u00e9g\u00e9s. Chaque hash de fichier peut appara\u00eetre comme t\u00e9l\u00e9charg\u00e9 plusieurs fois \u00e0 des dates diff\u00e9rentes et sur des sites web diff\u00e9rents. Et enfin les attaques zero day sont d\u00e9tect\u00e9es \u00e0 posteriori de fa\u00e7on plus fiable lorsque un fichier particulier est publiquement reconnu comme n\u00e9faste, avec un historique de son exploitation, que des sites sources, mais aussi potentiellement des clients impact\u00e9s.<\/p>\n<p style=\"text-align: justify;\">On est proche de la <a title=\"R\u00e9flexion \u00e2\u20ac\u201c Et l'anti-virus alors?\" href=\"http:\/\/blog.nebule.org\/?p=32\" target=\"_blank\">r\u00e9flexion sur\u00c2\u00a0l&rsquo;anti-virus<\/a> dans nebule. L&rsquo;une des possibilit\u00e9 pour la r\u00e9-utilisation de ces empreintes est de pouvoir marquer certains objets comme <em>n\u00e9fastes<\/em> sans avoir \u00e0 les re-scanner sur chaque station qui les voit passer&#8230;<\/p>\n<p style=\"text-align: justify;\">Mais ne r\u00eavons pas, cela ne sera pas suffisant pour supprimer les attaques zero day.<\/p>\n<p style=\"text-align: justify;\"><!--more--><\/p>\n<p style=\"text-align: justify;\">Copie de l&rsquo;\u00e9tude : <a href=\"http:\/\/blog.nebule.org\/?attachment_id=485\" rel=\"attachment wp-att-485\">bilge12_zero_day<\/a><\/p>\n<p style=\"text-align: justify;\">Liens :<br \/>\n&#8211; <a title=\"http:\/\/users.ece.cmu.edu\/~tdumitra\/public_documents\/bilge12_zero_day.pdf\" href=\"http:\/\/users.ece.cmu.edu\/~tdumitra\/public_documents\/bilge12_zero_day.pdf\" target=\"_blank\">http:\/\/users.ece.cmu.edu\/~tdumitra\/public_documents\/bilge12_zero_day.pdf<\/a><br \/>\n&#8211; <a title=\"http:\/\/www.schneier.com\/blog\/archives\/2012\/10\/studying_zero-d.html\" href=\"http:\/\/www.schneier.com\/blog\/archives\/2012\/10\/studying_zero-d.html\" target=\"_blank\">http:\/\/www.schneier.com\/blog\/archives\/2012\/10\/studying_zero-d.html<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Une \u00e9tude empirique int\u00e9ressante de Leyla Bilge et Tudor Dumitras (de chez Symantec) sur les attaques de type zero-day : Before we knew it. Par rapport \u00e0 nebule, on peut noter une similitude dans la m\u00e9thode d&rsquo;identification des objets. Chaque objet de l&rsquo;\u00e9tude est un fichier r\u00e9f\u00e9renc\u00e9 par une empreinte MD5 et une empreinte SHA2. &hellip; <a href=\"https:\/\/blog.nebule.org\/?p=481\" class=\"more-link\">Continuer la lecture de <span class=\"screen-reader-text\">Avant que nous n&rsquo;en ayons connaissance<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[2],"tags":[132,358],"_links":{"self":[{"href":"https:\/\/blog.nebule.org\/index.php?rest_route=\/wp\/v2\/posts\/481"}],"collection":[{"href":"https:\/\/blog.nebule.org\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.nebule.org\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.nebule.org\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.nebule.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=481"}],"version-history":[{"count":1,"href":"https:\/\/blog.nebule.org\/index.php?rest_route=\/wp\/v2\/posts\/481\/revisions"}],"predecessor-version":[{"id":2329,"href":"https:\/\/blog.nebule.org\/index.php?rest_route=\/wp\/v2\/posts\/481\/revisions\/2329"}],"wp:attachment":[{"href":"https:\/\/blog.nebule.org\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=481"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.nebule.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=481"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.nebule.org\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=481"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}